网络安全-技术与实践03

用户查询服务
" Finger功能可以帮助用户查询系统中某一个用户的细节，如其 全名、住址、电话号码、登陆细节等。 " 利用Finger协议获得的用户信息或用户登录信息应该引起高度 关注。它可以被黑客用来调查并发现潜在的攻击目标。它所提 供的信息，很可能被黑客用来实施口令猜测攻击。黑客还可以 发现用户最近与哪个实体相连，这个实体可能成为潜在的攻击 目标；黑客还可以发现用户最后使用的是哪个账号。 " Finger协议不可能在防火墙上运行，因此对于受防火墙保护 的网站来说，它不是主要考虑的问题。对于防火墙内部的用户 来说，可以使用其他方法获得大量同样的信息。但是，如果把 一台机器暴露在防火墙外部的话，那么关闭Finger后台程序， 或者对其施加某些限制才是明智之举。
高层协议的安全性
一 电子邮件协议 二 Internet电话协议 三 消息传输协议 四 远程ห้องสมุดไป่ตู้录协议 五 简单网络管理协议 六 网络时间协议 七 信息服务
简单文件传输协议——TFTP
" TFTP（Trivial File Transfer Protocol）是一个简单的基于UDP的文件 传输协议。该协议中没有使用认证。 " 适当配置TFTP后台可以限制到1个或2个目录的文件传输，这两个目录 通常为usr/local/boot和X11字库。 " 很多路由器（特别是低端的路由器）都使用TFTP来装载可执行的镜像 或配置文件。
Internet消息访问协议—IMAP4
" 它提供了同 POP3一样方便 的邮件下载服务， 在邮箱访问上有 更加强大的功能。 比如一封邮件里 含有５个附件， 而其中只有2个 附件是您需要的， 则可以选择只下 载这2个附件。 " 能够支持一些认 证方法，有些方法 确实是非常安全的。 在“挑战—响 应”机制中使用一 个共享的秘密，这 个秘密信息也必须 存储在服务器上。 如果将该秘密信息 与域字符串进行杂 凑运算，对于消除 某些口令的等值性 可能会更有利。 " 多个认证选项 会提高IMAP遭 受版本反转攻击 （versionrollback attack） 的可能性，该攻 击迫使服务器使 用较弱的认证或 密码算法。
安全壳协议——SSH
" 该协议设计的初衷是用来取代rlogin, rdisk, rsh和rpc。 " SSH 支持身份认证和数据加密，对所有传输的数据进行加密处理。 同时，可以对传输数据进行压缩处理，这样就可以加快数据传输的 速度。它既可以代替Telnet作为安全的远程登录方式，又可以为 FTP、POP等服务提供一个安全的“隧道”。 " SSH含有两个替代程序ssh和scp，这两个程序与rsh和rcp具有相同的 用户接口，所不同的是使用了加密协议。SSH也含有打通X11隧道 或任意TCP端口的机制。
第3章
高层协议的安全性
一 电子邮件协议 二 Internet电话协议 三 消息传输协议 四 远程登录协议 五 简单网络管理协议 六 网络时间协议 七 信息服务
远程登录协议——Telnet
" Telnet提供了简单终端到某台主机的访问。该协议包括对处理各 种终端设置的规定，如自然模式、字符回送等。通常，telnet后台 服务程序调用login程序来进行认证和引发会话。主叫用户提供帐 户名称和口令来进行登录。
邮局协议（版本3）—POP3
" 它是因特网电子邮件的第一个离线协议标准。POP3允许用户 从服务器上把邮件存储到本地主机（即自己的计算机）上，同 时删除保存在邮件服务器上的邮件。 " 该协议非常简单，服务器甚至可以采用Perl脚本程序非常容易 地实现，所以也非常不安全。
多用途网间邮件扩充协议—MIME
远程登录协议——Telnet
" 本地的Telnet程序可能会泄露秘密信息，攻击者可以通过嗅探器 记录用户名和口令组合，或者记录整个会话。 " 在许多主要ISP的主机上都发现有口令嗅探器Sniffer存在。这些 嗅探器能够捕获绝大部分的互联网业务流。它们记录telnet、ftp和 rlogin会话的前128个字符，这对于记录目的地址、用户名和口令 来说，已经足够用了。 " 攻击者也可能在线路上做文章。黑客掌握了使用TCP劫持工具的 方法，使他们能够在某种条件下霸占TCP会话。Telnet和rlogin会话 是非常具有吸引力的目标。 " 有些对telnet会话进行加密的办法。目前出现了几种telnet的加密 解决方案，它们分别为stel，SSLtelnet，stelnet，以及ssh。
第3章
高层协议的安全性
一 电子邮件协议 二 Internet电话协议 三 消息传输协议 四 远程登录协议 五 简单网络管理协议 六 网络时间协议 七 信息服务
第3章
高层协议的安全性
一 电子邮件协议 二 Internet电话协议 三 消息传输协议 四 远程登录协议 五 简单网络管理协议 六 网络时间协议 七 信息服务
" NTP服务器自身可能成为各种攻击的目标。一般来说，这种 攻击的目的是试图改变攻击目标的正确时间概念。例如，攻击 者会考虑对基于时间的认证设备和协议发起攻击。如果黑客能 够将机器的时钟重新设置成先前的某个值，他就能重发某个先 前的认证字符串来实施重发攻击。
第3章
高层协议的安全性
一 电子邮件协议 二 Internet电话协议 三 消息传输协议 四 远程登录协议 五 简单网络管理协议 六 网络时间协议 七 信息服务
IETF的会话启动协议——SIP
" SIP是一个通讯协议，它使用户的通讯系统更为开放、更好地 保持连接、使用更方便、选择更多，也更为个性化。 " 因为SIP使用简便，功能强大，分布广泛，它在整个IETF内迅 速得到了使用者的认同，特别是VoIP应用和即时留言应用，给大 家留下了更为深刻的印象。
第3章
简单邮件传输协议—SMTP
" SMTP最常用的实现方案是Sendmail。Sendmail有一个致命的 缺陷：它常以root用户权限工作。这实际上违背了“最小信任” 原则。SMTP后台程序不必以root权限运行。 " 对于邮件管理人员来说，最大的问题是如何对这些邮件服务程 序进行合理配置。Sendmail的配置规则非常复杂。
网络文件系统协议——NFS
" 网络文件系统NFS（Network File System）最早是由SUN Microsystem公司开发的，，它是许多工作站的重要组成部分。 NFS是一个流行的基于TCP/IP网络的文件共享协议，该协议 提供了文件共享服务，在/etc/ exports文件里保存具体的配置。 可以简单的把它看成一个文件服务器。
文件传输协议——FTP
" 从服务器到客户机，或者从客户机到服务器，均可以用FTP打 开一条数据通道。
文件传送 本地主机 前的用户 本地文件系统 远程文件系统
FTP的安全性
" 一个伪装成FTP客户机的Java程序能够做一些危险的事情。例如，假设 攻击者希望连接到防火墙后面的某台机器的telnet端口，他会将这个Java 程序嵌入到指定的Web页面文件中。当有人在该站点上运行此Java程序 时，它就会打开一条通往Web网站的FTP连接，并发出一条PORT指令， 指明采用23号端口telnet到目标主机上。防火墙就会顺从地打开该端口。 1 2 3 4 " 该服务如果没有设防，FTP能够在短时间内泄露公司大量的重要 文件； " 该访问依赖于口令，能够被很容易地探测或猜测到； " ftpd后台程序开始时以root用户权限运行，因为它要处 理帐户 的登录过程，包括口令处理。但是，它不能在登录后掩盖其特 权用户身份； " 在匿名FTP服务中，全球可读写的目录常用来存储和发布盗版 软件或其它违法的软件或数据。
" NFS服务器使用2049号端口。由于它处于“无特权的”范围 内，因此该范围的端口常常分配给那些普通的进程。必须要配 置UDP会话的包过滤器，以阻止进入到2049端口的访问。
NFS的安全性
" NFS对客户机也有风险。某些人具有访问服务器的特权， 有些能伪造返回数据包的人可能创建一个setuid程序或设备 文件，然后等待客户机取消或打开它们，从而影响到客户机 运行代码。某些NFS版本含有禁止这些东西进入的选项。如 果你从不可信的资源装载文件系统的时候，请切记要利用这 些选项。 " 当通过NFS浏览文档的时候，会出现一个更加敏感的问题。 对于服务器来说，要在客户机上种植某种恶意的程序（如ls） 非常容易，这种程序很可能用于某些非法操作。对于客户机来 说，最佳的防护是对所有外来的文件进行检查，删除那些可执 行的代码。不过，我们不知道标准的NFS客户机是否提供这一 选项。
第3章
高层协议的安全性
一 电子邮件协议 二 Internet电话协议 三 消息传输协议 四 远程登录协议 五 简单网络管理协议 六 网络时间协议 七 信息服务
网络时间协议——NTP
" 网络时间协议（NTP—Network Time Protocol）主要用于调 节系统时钟从而与外部时间源达到同步。外部时间源可以是 原子钟、天文台、卫星，也可以从Internet上公开的时间服务 器获取。如果无法与Internet连接，也可以指定内部的一些主 机作为时间服务器。
第3章
高层协议的安全性
一 电子邮件协议 二 Internet电话协议 三 消息传输协议 四 远程登录协议 五 简单网络管理协议 六 网络时间协议 七 信息服务
简单网络管理协议——SNMP
" SNMP是由IETF的研究小组为了解决Internet上的路由器管理问 题而提出的。SNMP被设计成与协议无关，所以它可以在IP， IPX，AppleTalk，OSI以及其他传输协议上使用 " SNMP用来控制路由器、网桥及其它的网络单元。
" MIME在1992年应用于电子邮件系统，后来也应用于浏览器。 服务器通过MIME类型告诉浏览器哪些是MP3文件，哪些是Shoc kwave文件。 " 对MIME存在一种分段攻击。 " 其它MIME的危险包括邮递可执行的程序，或邮件自身含有危 险的PostScript文件。是传播蠕虫和病毒的主要途径。
普通高等教育“十一五”国家级规划教材 教育部2011年精品教材
网络安全—技术与实践（第2版） 刘建伟 王育民 编著
清华大学出版社
课件制作人声明
n 本课件总共有17个文件，版权属于刘建伟所 有，仅供选用此教材的教师和学生参考。 n 本课件严禁其他人员自行出版销售，或未经 作者允许用作其他社会上的培训课程。 n 对于课件中出现的缺点和错误，欢迎读者提 出宝贵意见，以便及时修订。 课件制作人：刘建伟 2012年2月11日
服务器消息块协议
" 服务器消息块（Server Message Block, SMB）协议早在20世 纪80年代中期就已经在微软公司和IBM公司的操作系统中使 用了。该协议的发展比较缓慢，现在似乎偏向于使用公用因 特网文件系统协议。这是微软公司开发的一个新的开放文件 共享协议。SMB和CIFS协议也可以向没有经过身份验证的用 户提供丰富的信息，在高安全性的Windows环境中，通常建 议禁止使用这两个协议。 " 当Windows系统共享它的文件或打印机时就用到这些服务。 最常见的安全性错误就是在共享文件系统时没有采用认证措施， 另外，Windows的Samba服务也多次被报告存在DoS漏洞。对于 UNIX系统来说，这些协议由流行的Samba软件包支持。但是， 这个软件包太复杂，也存在许多安全问题。
第3章
高层协议的安全性
一 电子邮件协议 二 Internet电话协议 三 消息传输协议 四 远程登录协议 五 简单网络管理协议 六 网络时间协议 七 信息服务
ITU的互联网电话协议—H.323
" 互联网电话目前主要采用的协议有两种，一种叫做会话启 动协议SIP（Session Initiation Protocol），另一种叫做H.323协 议。这两种协议除了可以建立简单的电话呼叫之外，还可以建 立电话会议（微软的NetMeeting可以支持这两种协议）。SIP还 是某些互联网/电话网络交互和某些即时消息协议的基础。 " H.323是ITU的互联网电话协议。该协议是ITU基于ISDN的 信令协议Q.931设计的。但是，该协议增加了复杂度，并且与 现有的ISDN协议栈有部分区别。